울지않는벌새 : Security, Movie & Society

Spam 이메일 : Fwd: Order N 1386607 (2012.10.23)

벌새::Analysis

해외 소셜 네트워크 서비스 링크드인(LinkedIn)에서 발송한 것처럼 발송자가 표시된 스팸(Spam) 메일을 통해 마이크로소프트 윈도우 라이센스(Microsoft Windows License) 다운로드 링크를 통한 악성코드 감염을 유발시키는 사례를 확인하였습니다. 

■ 이메일 제목 : Fwd: Order N 1386607

■ 이메일 내용

 

Welcome,

You can download your Microsoft Windows License here -

Microsoft Corporation

 

이메일에서는 마이크로소프트(Microsoft) 업체에서 마이크로소프트 윈도우 라이센스를 다운로드하기 위한 링크(URL)를 제공하는 것처럼 구성되어 있으며, 해당 링크는 러시아(.ru) 도메인으로 연결되고 있습니다. 

이메일 수신자가 호기심에 링크를 오픈할 경우 "Please wait a moment. You will be forwarded.. Internet Explorer or Mozilla Firefox compatible only"라는 문구가 초기에 생성되며, 사용자 PC에 설치된 Oracle Java, Adobe Reader 제품이 최신 버전이 아닌 경우 보안 취약점을 이용한 자동 감염이 이루어질 수 있습니다. 

  • h**p://***.suhobuzimo.ru/page2.htm (McAfee : JS/Exploit-Blacole.gg)

우선 초기 연결이 이루어지는 링크 페이지에서는 문구와 함께 악성 스크립트가 포함되어 특정 웹 페이지로 연결을 시도합니다.

  • h**p://fide****stroo.ru:8080/forum/links/column.php (avast! : HTML:Applet-inf [Trj])

연결된 페이지에서는 Java Applet이 동작하여 취약한 Oracle JRE 버전이 설치된 사용자의 경우 Drive-By Download가 발생합니다. 

이를 통해 974c9.pdf (MD5 : fd0a26e0bbbfbcb74fe9b53847c686b0) 파일이 다운로드되며, Adobe Reader 보안 취약점(CVE-2010-0188)을 이용하여 감염을 유발시킵니다.

 

참고로 해당 파일에 대하여 AhnLab V3 보안 제품에서는 PDF/Dropper (VirusTotal : 17/44) 진단명으로 진단되고 있습니다. 

이를 통해 최종적으로 calc.exe (MD5 : a873de7538049861dcb07475c48a3957) 파일이 다운로드되며, AhnLab V3 보안 제품에서는 Trojan/Win32.Bublik (VirusTotal : 20/44) 진단명으로 진단되고 있습니다.

 

다운로드된 파일은 "C:\DOCUME~1\(사용자 계정)~1\LOCALS~1\Temp\wpbt0.dll" 파일을 임시 생성하여, "C:\Documents and Settings\(사용자 계정)\Application Data

\KB01093879.exe" 파일을 자가 복제를 합니다.(※ calc.exe = KB01093879.exe) 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - KB01093879.exe = "C:\Documents and Settings\(사용자 계정)\Application Data\KB01093879.exe"

생성된 KB01093879.exe 파일은 Windows 시작시 시작 프로그램으로 등록되어 자동 실행되어, 다음과 같은 연결을 시도합니다. 

 

테스트 시점에서는 추가적인 다운로드 동작은 발생하지 않고 있지만, 감염된 PC에서는 FTP 계정 정보 수집, 해외 가짜 백신(FakeAV) 설치 등의 악의적인 동작이 이루어질 수 있습니다.

 

그러므로 해외에서 발송된 수상한 이메일에서 제공하는 링크는 함부로 클릭하여 연결되지 않도록 주의하시기 바라며, 사용자 PC에 설치된 Oracle Java, Adobe Reader와 같은 유명 소프트웨어는 반드시 최신 버전을 사용하시기 바랍니다.